Programa una Demostración
Acceder

Transición a una fuente de seguridad de Cognos diferente

by 30 de junio de 2015Análisis de Cognos, CI personal0 comentarios

Cuando necesite reconfigurar un entorno Cognos existente para utilizar una fuente de seguridad externa diferente (por ejemplo, Active Directory, LDAP, etc.), hay varios enfoques que puede tomar. Me gusta llamarlos "El bueno, el malo y el feo". Antes de explorar estos enfoques buenos, malos y feos, echemos un vistazo a algunos escenarios comunes que tienden a impulsar cambios en el espacio de nombres de autenticación en un entorno de Cognos.

Impulsores comerciales comunes:

Actualización de hardware o sistema operativo - La modernización del hardware / la infraestructura de BI puede ser un factor frecuente. Si bien el resto de Cognos puede funcionar como un campeón en su nuevo hardware elegante y su moderno sistema operativo de 64 bits, buena suerte al migrar su versión de Access Manager de alrededor de 2005 a esa nueva plataforma. Access Manager (lanzado por primera vez con la Serie 7) es un vestigio venerable de los días pasados ​​para muchos clientes de Cognos. Es la única razón por la que muchos clientes mantienen esa vieja y cruda versión de Windows Server 2003. La escritura ha estado en la pared para Access Manager durante bastante tiempo. Es un software heredado. Cuanto antes pueda hacer la transición, mejor.

Estandarización de aplicaciones- Organizaciones que desean consolidar la autenticación de todas sus aplicaciones en un servidor de directorio corporativo administrado de forma centralizada (por ejemplo, LDAP, AD).

Fusiones y Adquisiciones- La empresa A compra la empresa B y necesita que el entorno Cognos de la empresa B apunte al servidor de directorio de la empresa A, sin causar problemas en su contenido o configuración de BI existente.

Desinversiones corporativas- Esto es lo opuesto al escenario de fusión, una parte de una empresa se escinde en su propia entidad y ahora necesita apuntar su entorno de BI existente a la nueva fuente de seguridad.

Por qué las migraciones de espacios de nombres pueden ser desordenadas

Apuntar un entorno Cognos a una nueva fuente de seguridad no es tan simple como agregar el nuevo espacio de nombres con los mismos usuarios, grupos y roles, desconectar el antiguo espacio de nombres y ¡VOILA !: todos los usuarios de Cognos en el nuevo espacio de nombres coinciden con su contenido. De hecho, a menudo puede terminar con un desastre ensangrentado en sus manos, y aquí está el por qué ...

Todos los principales de seguridad de Cognos (usuarios, grupos, roles) son referenciados por un identificador único llamado CAMID. Incluso si todos los demás atributos son iguales, el CAMID de un usuario en un existente El espacio de nombres de autenticación no será el mismo que el CAMID para ese usuario en el nueva espacio de nombres. Esto puede causar estragos en un entorno Cognos existente. Incluso si solo tiene unos pocos usuarios de Cognos, debe darse cuenta de que las referencias CAMID existen en MUCHOS lugares diferentes en su Content Store (e incluso pueden existir fuera de su Content Store en modelos Framework, Transformer Models, TM1 Applications, Cubes, Planning Applications, etc. ).

Muchos clientes de Cognos creen erróneamente que CAMID realmente solo es importante para el contenido de Mi carpeta, las preferencias del usuario, etc. Esto no podría estar más lejos de la verdad. No es solo una cuestión de la cantidad de usuarios que tenga, es la cantidad de objetos Cognos que debe preocuparle. Hay más de 140 tipos diferentes de objetos Cognos solo en Content Store, muchos de los cuales pueden tener múltiples referencias CAMID.

Por ejemplo:

  1. No es raro que un solo Programa en su Tienda de contenido tenga múltiples referencias CAMID (el CAMID del propietario del programa, el CAMID del usuario con el que debe ejecutarse el programa, el CAMID de cada usuario o lista de distribución a la que debe enviar el resultado del informe generado por correo electrónico , etc.).
  2. Cada objeto en Cognos tiene una política de seguridad que gobierna qué usuarios pueden acceder al objeto (piense en la “pestaña Permisos”). Una única política de seguridad que cuelga de esa carpeta en Cognos Connection tiene una referencia CAMID para cada usuario, grupo y rol que se especifica en esa política.
  3. Espero que entiendas el punto: ¡esta lista sigue y sigue!

No es raro que una tienda de contenido considerable contenga decenas de miles de referencias CAMID (y hemos visto algunas grandes con cientos de miles).

Ahora, haz los cálculos de lo que hay su proveedor Cognos y puede ver que potencialmente está lidiando con hordas de referencias CAMID. ¡Puede ser una pesadilla! Cambiar (o reconfigurar) su espacio de nombres de autenticación puede dejar todas estas referencias CAMID en un estado irresoluble. Esto conduce inevitablemente a problemas de configuración y contenido de Cognos (p. Ej., Programas que ya no se ejecutan, contenido que ya no está protegido como usted cree, paquetes o cubos que ya no implementan correctamente la seguridad del nivel de datos, la pérdida del contenido de My Folder y del usuario preferencias, etc.).

Métodos de transición del espacio de nombres de Cognos

Ahora, sabiendo que un entorno Cognos puede tener decenas de miles de referencias CAMID que requerirán encontrar, mapear y actualizar su nuevo valor CAMID correspondiente en el nuevo espacio de nombres de autenticación, analicemos los enfoques Bueno, Malo y Feo para resolver este problema.

Lo bueno: Reemplazo del espacio de nombres con Persona

El primer método (Reemplazo de espacio de nombres) utiliza Motio's CI personal producto. Con este enfoque, su espacio de nombres existente se "reemplaza" con un espacio de nombres de Persona especial que le permite virtualizar todos los principales de seguridad que están expuestos a Cognos. Los principales de seguridad preexistentes estarán expuestos a Cognos con exactamente el mismo CAMID que antes, aunque pueden estar respaldados por cualquier número de fuentes de seguridad externas (por ejemplo, Active Directory, LDAP o incluso la base de datos de Persona).

Lo bueno de este enfoque es que requiere CERO cambios en el contenido de Cognos. Esto se debe a que Persona puede mantener los CAMID de los principales preexistentes, incluso cuando están respaldados por una nueva fuente. Entonces… ¿todas esas decenas de miles de referencias CAMID en su Content Store, modelos externos y cubos históricos? Pueden permanecer exactamente como están. No se requiere trabajo.

Este es, con mucho, el enfoque menos riesgoso y de menor impacto que puede utilizar para realizar la transición de su entorno Cognos existente de una fuente de seguridad externa a otra. Se puede hacer en menos de una hora con aproximadamente 5 minutos de tiempo de inactividad de Cognos (el único tiempo de inactividad de Cognos es reiniciar Cognos una vez que haya configurado el espacio de nombres de Persona).

Lo malo: Migración de espacio de nombres usando Persona

Si el enfoque fácil y de bajo riesgo no es lo tuyo, entonces is otra opción.

Persona también se puede utilizar para realizar una migración de espacio de nombres.

Esto implica instalar un segundo espacio de nombres de autenticación en su entorno Cognos, mapear (con suerte) todos sus principales de seguridad existentes (desde el espacio de nombres antiguo) a los principales correspondientes en el nuevo espacio de nombres, luego (aquí está la parte divertida), encontrar, mapear y actualizar cada única referencia de CAMID que existe en su entorno de Cognos: su almacén de contenido, modelos de marco, modelos de transformador, cubos históricos, aplicaciones TM1, aplicaciones de planificación, etc.

Este enfoque tiende a ser estresante y requiere un proceso intensivo, pero si usted es el tipo de administrador de Cognos que necesita un poco de adrenalina para sentirse vivo (y no le importa las llamadas telefónicas a altas horas de la noche o temprano en la mañana), entonces quizás ... así cual es la opcion que estas buscando?

Persona se puede utilizar para ayudar a automatizar partes de este proceso. Le ayudará a crear un mapeo entre los antiguos principios de seguridad y los nuevos principios de seguridad, automatizar la lógica de fuerza bruta de "buscar, analizar, actualizar" para el contenido en su tienda de contenido, etc. Qué Persona puede automatizar algunas de las tareas aquí, mucho del trabajo en este enfoque involucra "personas y procesos" más que tecnología real.

Por ejemplo, recopilar información sobre cada modelo de Framework Manager, cada modelo de Transformer, cada aplicación Planning / TM1, cada aplicación SDK, quién las posee y planificar cómo se actualizarán y redistribuirán puede suponer mucho trabajo. La coordinación de interrupciones para cada uno de los entornos de Cognos en los que desea intentarlo y las ventanas de mantenimiento durante las cuales puede intentar la migración pueden implicar la planificación y el “tiempo de inactividad” de Cognos. Elaborar (y ejecutar) un plan de prueba eficaz para después de la migración también puede ser bastante complicado.

También es bastante normal que desee realizar este proceso primero en un entorno que no sea de producción. antes probándolo en producción.

Si bien la migración de espacios de nombres con Persona funciona (y es mucho mejor que el enfoque “feo” a continuación), es más invasivo, más riesgoso, involucra a mucho más personal y lleva muchas más horas hombre para llevar a cabo que el reemplazo de espacios de nombres. Por lo general, las migraciones deben realizarse durante "horas libres", mientras que el entorno de Cognos todavía está en línea, pero el uso de forma restringida por parte de los usuarios finales.

The Ugly: Servicios de migración de espacio de nombres manual

El método Ugly implica el enfoque poco envidiable de intentar a mano migrar de un espacio de nombres de autenticación a otro. Esto implica conectar un segundo espacio de nombres de autenticación a su entorno de Cognos y luego intentar mover o recrear manualmente gran parte del contenido y la configuración de Cognos existentes.

Por ejemplo, con este enfoque, un administrador de Cognos podría intentar:

  1. Recrear los grupos y roles en el nuevo espacio de nombres
  2. Recrear las membresías de esos grupos y roles en el nuevo espacio de nombres
  3. Copie manualmente el contenido de mis carpetas, las preferencias del usuario, las pestañas del portal, etc. de cada cuenta de origen a cada cuenta de destino
  4. Busque todos los conjuntos de políticas en el almacén de contenido y actualícelos para hacer referencia a los principales equivalentes en el nuevo espacio de nombres exactamente de la misma manera que hizo referencia a los principales del antiguo espacio de nombres.
  5. Vuelva a crear todos los horarios y rellénelos con la credencial correspondiente, los destinatarios, etc.
  6. Restablecer todas las propiedades de "propietario" y "contacto" de todos los objetos en la Tienda de contenido
  7. [Aproximadamente otras 40 cosas en la Tienda de contenido de las que te vas a olvidar]
  8. Reúna todos los modelos FM con seguridad a nivel de datos o de objetos:
    1. Actualice cada modelo en consecuencia
    2. Vuelva a publicar cada modelo
    3. Redistribuir el modelo modificado al autor original
  9. Trabajo similar para modelos Transformer, aplicaciones TM1 y aplicaciones de planificación que están protegidas contra el espacio de nombres original.
  10. [y muchos más]

Si bien algunos masoquistas de Cognos podrían reírse secretamente de alegría ante la idea de hacer clic 400,000 veces en Cognos Connection, para la mayoría de las personas sensatas, este enfoque tiende a ser extremadamente tedioso, lento y propenso a errores. Sin embargo, ese no es el mayor problema con este enfoque.

El mayor problema con este enfoque es que casi hacerlo conduce a una migración incompleta.

Con este enfoque, usted (dolorosamente) encuentra e intenta mapear esas referencias CAMID que conoce ... pero tiende a dejar todas esas referencias CAMID que no sé sobre.

Una vez que pensar ha terminado con este enfoque, a menudo no realmente hecho.

Tiene objetos en su tienda de contenido que ya no están protegidos de la forma en que cree que están ... tiene horarios que no se ejecutan como solían ejecutarse, tiene datos que ya no están protegidos de la forma en que cree lo es, e incluso puede tener errores inexplicables para ciertas operaciones que realmente no puedes poner tu dedo en.

Razones por las que los enfoques malos y feos pueden ser espantosos:

  • Las migraciones automatizadas de espacios de nombres ponen mucho estrés en el Administrador de contenido. La inspección y la posible actualización de cada objeto en su Content Store, a menudo puede resultar en decenas de miles de llamadas SDK a Cognos (prácticamente todas las cuales fluyen a través del Content Manager). Esta consulta anormal generalmente aumenta el uso / carga de la memoria y pone al Administrador de contenido en riesgo de fallar durante la migración. Si ya tiene alguna cantidad de inestabilidad en su entorno de Cognos, debe tener mucho miedo de este enfoque.
  • Las migraciones de espacios de nombres requieren una ventana de mantenimiento considerable. Cognos debe estar activo, pero no desea que las personas realicen cambios durante el proceso de migración. Por lo general, esto requerirá que la migración del espacio de nombres comience cuando nadie más esté trabajando, digamos a las 10 pm un viernes por la noche. Nadie quiere comenzar un proyecto estresante a las 10 pm un viernes por la noche. Sin mencionar que sus facultades mentales probablemente no estén en su mejor momento trabajando noches y fines de semana en un proyecto que  ¡Requiere que seas afilado!
  • He mencionado que las migraciones de espacios de nombres requieren mucho tiempo y trabajo. Aquí hay un poco más de eso:
    • El proceso de mapeo de contenido debe realizarse con precisión y eso requiere colaboración en equipo y muchas horas de trabajo.
    • Se requieren varios ensayos en seco para comprobar si hay errores o problemas con una migración. Una migración típica no funciona perfectamente en el primer intento. También necesitará una copia de seguridad válida de su Content Store que se pueda restaurar en tales casos. Hemos visto muchas organizaciones que no tienen una buena copia de seguridad disponible (o tienen una copia de seguridad que no se dan cuenta de que está incompleta).
    • Necesitas identificar todo afuera la tienda de contenido que puede verse potencialmente afectada (modelos de marco, modelos de transformadores, etc.). Esta tarea puede implicar la coordinación entre varios equipos (especialmente en grandes entornos de BI compartidos).
    • Necesita un buen plan de prueba que involucre a personas representativas con diversos grados de acceso a su contenido de Cognos. La clave aquí es verificar poco después de que se complete la migración que todo esté completamente migrado y que funcione como espera. Por lo general, no es práctico verificar todo, por lo que termina verificando lo que espera que sean muestras representativas.
  • Debes tener broad conocimiento del entorno de Cognos y de las cosas que dependen de él. Por ejemplo, los cubos históricos con vistas personalizadas TIENEN que reconstruirse si sigue la ruta NSM.
  • ¿Qué pasa si usted o la empresa a la que han subcontratado la migración del espacio de nombres se olvidan de algo, como… las aplicaciones SDK? Una vez que haya accionado el interruptor, estas cosas dejarán de funcionar si no se actualizan correctamente. ¿Tiene los controles adecuados para notar esto de inmediato, o pasarán varias semanas / meses antes de que los síntomas comiencen a aparecer?
  • Si ha realizado numerosas actualizaciones de Cognos, es posible que tenga objetos en su almacén de contenido que se encuentren en un estado incoherente. Si no trabaja con el SDK, no podrá ver qué objetos están en este estado.

Por qué el reemplazo del espacio de nombres es la mejor opción

Los factores de riesgo clave y los pasos que consumen mucho tiempo que acabo de describir se eliminan cuando se utiliza el método de Reemplazo de espacio de nombres de Persona. Con el enfoque de reemplazo de espacio de nombres, tiene 5 minutos de tiempo de inactividad de Cognos y no tiene que cambiar nada de su contenido. El método “bueno” me parece una “obviedad” corta y seca. Los viernes por la noche son para relajarse, no para estresarse por el hecho de que su administrador de contenido se bloqueó en medio de una migración de espacio de nombres.

Análisis de CognosActualización de Cognos
3 pasos para una actualización exitosa de Cognos
Tres pasos para una actualización exitosa de IBM Cognos

Tres pasos para una actualización exitosa de IBM Cognos

Tres pasos para una actualización exitosa de IBM Cognos Consejos invaluables para el ejecutivo que administra una actualización Recientemente, pensamos que nuestra cocina necesitaba una actualización. Primero contratamos a un arquitecto para que hiciera los planos. Con un plan en la mano, discutimos los detalles: ¿Cuál es el alcance?...

Leer Más

| 14 de diciembre de 2022 | 0

SolucionesAnálisis de Cognos
Motio X IBM Cognos Analytics Nube
Motio, Inc. ofrece control de versiones en tiempo real para Cognos Analytics Cloud

Motio, Inc. ofrece control de versiones en tiempo real para Cognos Analytics Cloud

PLANO, Texas – 22 de septiembre de 2022 - Motio, Inc., la compañía de software que lo ayuda a mantener su ventaja analítica al mejorar su software de inteligencia empresarial y análisis, anunció hoy todos sus MotioCI Las aplicaciones ahora son totalmente compatibles con Cognos...

Leer Más

| 21 de septiembre de 2022 | 0

Ver Más